徐洪峰

（長沙民政職業(yè)技術(shù)學(xué)院軟件學(xué)院，長沙 410004）

0 引言

隨著信息化的快速發(fā)展，網(wǎng)絡(luò)安全問題日趨嚴(yán)重。國家網(wǎng)絡(luò)安全的維護(hù)，需要網(wǎng)絡(luò)安全人才的培養(yǎng)。中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組辦公室等六部門于2016年6月聯(lián)合發(fā)布了《關(guān)于加強網(wǎng)絡(luò)安全學(xué)科建設(shè)和人才培養(yǎng)的意見》（簡稱《意見》）?！兑庖姟分赋?，鼓勵高校開設(shè)網(wǎng)絡(luò)安全基礎(chǔ)公共課程，提倡非網(wǎng)絡(luò)安全專業(yè)學(xué)生學(xué)習(xí)掌握網(wǎng)絡(luò)安全知識和技能。對于計算機網(wǎng)絡(luò)專業(yè)的大學(xué)生，更要在專業(yè)教師的引導(dǎo)下，認(rèn)真學(xué)習(xí)網(wǎng)絡(luò)安全基礎(chǔ)知識，努力掌握網(wǎng)絡(luò)安全實踐操作技能。

在真實的實驗環(huán)境下進(jìn)行網(wǎng)絡(luò)安全學(xué)習(xí)的操作勢必耗費大量資金，學(xué)校財政壓力較大，同時受機房環(huán)境的制約，學(xué)生學(xué)習(xí)不便。HCL（H3C cloud lab）即華三云實驗室，也稱H3C模擬器，是新華三公司推出的一款圖形化界面的全真網(wǎng)絡(luò)模擬軟件。隨著新華三公司規(guī)模擴大以及市場份額的提升，HCL軟件成為廣大學(xué)生和技術(shù)人員學(xué)習(xí)使用的重要工具。

本文使用HCL仿真軟件設(shè)計與實現(xiàn)一個基于ACL包過濾技術(shù)和NAT server技術(shù)的WEB服務(wù)器安全實驗，引導(dǎo)學(xué)生學(xué)習(xí)網(wǎng)絡(luò)安全基礎(chǔ)知識，提升學(xué)生動手實踐能力。

1 相關(guān)技術(shù)介紹

1.1 ACL包過濾技術(shù)

ACL（Access Control Lists，訪問控制列表）是最基本的網(wǎng)絡(luò)安全工具之一，它實際上是一組規(guī)則的集合，這組規(guī)則定義了怎樣處理流入或流出設(shè)備的報文。根據(jù)業(yè)務(wù)需要，網(wǎng)絡(luò)管理員可以在路由器、交換機等設(shè)備上針對報文的源IP地址、目的IP地址、協(xié)議、端口號，甚至源MAC地址和目的MAC進(jìn)行規(guī)則設(shè)置，以允許或拒絕報文通過。將配置好的規(guī)則應(yīng)用到設(shè)備的接口處，設(shè)備會對穿越該接口的報文進(jìn)行匹配分析，并按設(shè)置好的規(guī)則進(jìn)行處理。ACL包過濾技術(shù)通過控制數(shù)據(jù)流在網(wǎng)絡(luò)中的傳輸，保護(hù)敏感設(shè)備，防范未經(jīng)授權(quán)的訪問。

新華三公司將ACL劃分為基本、高級、二層以及用戶自定義四種類型。對于基本ACL，規(guī)則只能針對報文的源IP地址設(shè)置；對于高級ACL，規(guī)則不僅可以針對報文的源IP地址、目的IP地址等三層信息，還可以針對端口號等四層信息進(jìn)行設(shè)置；對于二層ACL，規(guī)則可以針對報文的源MAC地址、目的MAC地址等二層信息進(jìn)行設(shè)置。在本實驗中，ACL包過濾技術(shù)用到的是高級ACL。

1.2 NAT ser ver技術(shù)

NAT（network address translation，網(wǎng)絡(luò)地址轉(zhuǎn)換）是將IP地址從一個地址域映射到另一個地址域的方法，為終端設(shè)備提供透明的傳輸。通過NAT的作用，一方面可以節(jié)約公網(wǎng)地址，另一方面可以隱藏私網(wǎng)地址。NAT的轉(zhuǎn)換方式可以分為靜態(tài)、動態(tài)和內(nèi)部服務(wù)器三種。NAT server技術(shù)就是NAT內(nèi)部服務(wù)器技術(shù)，它可以隱藏私網(wǎng)內(nèi)部服務(wù)器的IP地址，確保網(wǎng)站服務(wù)器的安全。

使用NAT server技術(shù)，可以將部署在組織內(nèi)部的服務(wù)器的私網(wǎng)IP地址轉(zhuǎn)換成公網(wǎng)IP地址，從而為組織外部網(wǎng)絡(luò)的用戶提供服務(wù)。外部用戶在接受服務(wù)的過程中，并不知道服務(wù)器位于私網(wǎng)內(nèi)部，更不知道服務(wù)器的真實IP地址。NAT server技術(shù)通過隱藏服務(wù)器的真實IP地址和所處位置，避免服務(wù)器遭到來自網(wǎng)絡(luò)外部的惡意攻擊。

2 仿真實驗設(shè)計與實現(xiàn)

2.1 網(wǎng)絡(luò)設(shè)計

為了綜合運用ACL包過濾技術(shù)和NATserver技術(shù)，提出如下網(wǎng)絡(luò)需求：A公司內(nèi)部部署一臺WEB服務(wù)器，該服務(wù)器僅為公司網(wǎng)內(nèi)員工以及位于網(wǎng)外的B公司員工提供服務(wù)，禁止其他人員訪問。

根據(jù)網(wǎng)絡(luò)需求設(shè)計網(wǎng)絡(luò)結(jié)構(gòu)，如圖1所示。圖1中，“SERVER”是WEB服務(wù)器，安裝在A公司私網(wǎng)內(nèi)部，“PC1”和“PC2”分別是B公司和C公司的終端，“Internet”用于模擬互聯(lián)網(wǎng)，“NAT”、“RT1”和“RT2”分別是A公司、B公司和C公司的出口路由器，“SW0”、“SW1”和“SW2”分別是A公司、B公司和C公司的接入交換機。一方面，“SERVER”為公司內(nèi)網(wǎng)員工開放WEB服務(wù)；另一方面，通過在“NAT”配置NAT server技術(shù)為外網(wǎng)用戶提供服務(wù)，但同時在“NAT”部署ACL包過濾技術(shù)禁止B公司以外的員工訪問。

2.2 實驗條件

防火墻擔(dān)當(dāng)服務(wù)器，宿主機測試業(yè)務(wù)。HCL仿真軟件沒有專門用于提供WEB業(yè)務(wù)的服務(wù)器，也沒有具備瀏覽器功能的主機，需要使用其它設(shè)備代替。HCL仿真軟件中的防火墻實現(xiàn)了真實設(shè)備F1060的功能，具有WEB管理功能，開放了“80”和“443”端口，啟用了http和https服務(wù)，可以用于模擬WEB服務(wù)器。此外，HCL仿真軟件中“Host”終端其實是本地主機，也就是HCL軟件安裝和運行的宿主機。HCL安裝時，會通過“Oracle VM VirtualBox”軟件在宿主機上創(chuàng)建一張?zhí)摂M網(wǎng)卡，這張?zhí)摂M網(wǎng)卡也是HCL工作臺中“Host”終端的網(wǎng)卡，將“Host”終端接入虛擬網(wǎng)絡(luò)，實際上是將宿主機接入到虛擬網(wǎng)絡(luò)，自然可以使用宿主機上的瀏覽器訪問虛擬網(wǎng)絡(luò)中的WEB服務(wù)器。因此，圖1中的“SERVER”設(shè)備用防火墻模擬，“PC1”和“PC2”是“Host”終端，也就是宿主機。

圖1 網(wǎng)絡(luò)結(jié)構(gòu)圖

2.3 IP地址及接口規(guī)劃

實驗共規(guī)劃六個IP地址段，其中私網(wǎng)IP地址段三個，用于三個公司網(wǎng)絡(luò)終端使用；公網(wǎng)IP地址段三個，用于路由器互聯(lián)使用，具體如表1所示。

表1 IP地址規(guī)劃表

各設(shè)備互聯(lián)接口規(guī)劃及IP地址分配如表2所示。其中“SERVER”服務(wù)器使用地址“192.168.1.10”，“PC1”服務(wù)器使用地址“172.31.2.10”，“PC2”服務(wù)器使用地址“10.10.3.10”。

表2 設(shè)備互聯(lián)接口及IP地址表

“NIC:VirtualBox Host-Only Network#6”是HCL安裝時生成的虛擬網(wǎng)卡，“NIC:VirtualBox Host-Only Network#7”是根據(jù)實驗需要，手動使用“Oracle VM VirtualBox”軟件創(chuàng)建而成?！?6”和“#7”分別代表宿主機上第6塊和第7塊網(wǎng)卡。

2.4 數(shù)據(jù)配置

2.4.1 IP地址等基本配置。

根據(jù)設(shè)備互聯(lián)接口及IP地址表，在各設(shè)備上配置相應(yīng)的IP地址、默認(rèn)路由等。

（1）“Internet”設(shè)備配置。與“NAT”互聯(lián)的接口Ser_1/0上配置IP地址“111.168.1.1”；在與“RT1”相連的接口Ser_2/0上配置IP地址“112.31.2.1”；在與“RT2”相連的接口Ser_3/0上配置IP地址“113.10.3.1”，掩碼長度都為24位。

（2）“NAT”設(shè)備配置。在與“Internet”相連的接口Ser_1/0上配置IP地址“111.168.1.2”，與“SW0”互聯(lián)的接口GE0/0上配置IP地址“192.168.1.1”，掩碼長度都為24位，同時配置默認(rèn)路由。

（3）“RT1”設(shè)備配置。在與“Internet”相連的接口Ser_1/0上配置IP地址“112.31.2.2”，與“SW1”相連的接口GE0/0上配置IP地址“172.31.2.1”，掩碼長度都為24位，同時配置默認(rèn)路由。

（4）“RT2”設(shè)備配置。在與“Internet”相連的接口Ser_1/0上配置IP地址“113.10.3.2”，與“SW2”相連的接口GE0/0上配置IP地址“10.10.3.1”，掩碼長度都為24位，同時配置默認(rèn)路由。

（5）“SERVER”設(shè)備配置。SERVER”設(shè)備是一臺防火墻，在與“SW0”相連的接口G1/0/0上配置IP地址“192.168.1.10”，掩碼長度為24位，同時配置默認(rèn)路由。

2.4.2 安全域及策略配置

實驗中，“SERVER”是一臺防火墻，需對安全域、安全策略及規(guī)則進(jìn)行配置，確保報文正常轉(zhuǎn)發(fā)。將與“SW0”相連的接口G1/0/0加入“Trust”域，創(chuàng)建編號為“0”、名稱為“trust-local”的安全策略規(guī)則，配置“action pass”命令允許流量通過。

2.4.3 靜態(tài)NAT配置

分別在“RT1”和“RT2”設(shè)備中創(chuàng)建編號為“2000”的基本訪問控制列表，允許B公司和C公司內(nèi)網(wǎng)私有地址段為源的流量通過，并分別在接口Serial1/0進(jìn)行源地址轉(zhuǎn)換。

2.4.4 NAT server配置

在“NAT”設(shè)備外網(wǎng)側(cè)接口Ser_1/0上部署NAT server技術(shù)。將與Ser_1/0接口地址處于同一網(wǎng)段的公網(wǎng)地址“111.168.1.100”和端口號“1234”映射到“SERVER”服務(wù)器的真實私網(wǎng)地址“192.168.1.10”和端口號“443”上。

［NAT-Serial1/0］nat server protocol tcp global 111.168.1.100 1234 inside 192.168.1.10 443

2.4.5 ACL配置

在“NAT”設(shè)備上創(chuàng)建編號為“3000”的高級訪問控制列表，允許源地址為“112.31.2.2”且目的地址為“111.168.1.100”、目的端口號為“1234”的數(shù)據(jù)包通過，阻止其它任何源地址且目的地址為“111.168.1.100”、目的端口號為“1234”的數(shù)據(jù)通過。在“NAT”設(shè)備的Ser_1/0接口入方向上應(yīng)用該ACL。

3 實驗結(jié)果驗證

3.1 B公司終端訪問“SERVER”服務(wù)器

B公司訪問公網(wǎng)是通過出口路由器“RT1”將私網(wǎng)地址轉(zhuǎn)換為接口Ser_1/0的公網(wǎng)地址“112.31.2.2”實現(xiàn)的。在PC1，也就是宿主機的虛擬網(wǎng)卡“NIC:VirtualBox Host-Only Network#6”配置私網(wǎng)IP地址“172.31.2.10”以及相應(yīng)的掩碼和網(wǎng)關(guān)。為避免沖突，禁用虛擬網(wǎng)卡“NIC:VirtualBox Host-Only Network#7”。打開宿主機的瀏覽器，并在地址欄中輸入“https://111.168.1.100:1234”進(jìn)行測試，能正常訪問“SERVER”服務(wù)器，如圖2所示，證明NAT server技術(shù)部署成功。

圖2 B公司用戶可正常訪問“SERVER”服務(wù)器

3.2 其它外網(wǎng)終端訪問“SERVER”服務(wù)器

在PC2，也就是宿主機的虛擬網(wǎng)卡“NIC:VirtualBox Host-Only Network#7”配置IP地址“10.10.3.10”以及相應(yīng)的掩碼和網(wǎng)關(guān)，并禁用虛擬網(wǎng)卡“NIC:VirtualBox Host-Only Network#6”，模擬C公司（B公司以外）的外網(wǎng)用戶測試，不能訪問“SERVER”服務(wù)器，如圖3所示，證明ACL包過濾技術(shù)部署成功。

圖3 C公司用戶不能訪問“SERVER”服務(wù)器

4 結(jié)語

習(xí)總書記曾說，沒有網(wǎng)絡(luò)安全就沒有國家安全。當(dāng)前網(wǎng)絡(luò)與信息安全問題突出，人人都需要增強意識、提高警惕，尤其在網(wǎng)絡(luò)相關(guān)課程教學(xué)過程中，要引導(dǎo)學(xué)生時時處處注意網(wǎng)絡(luò)與信息安全。本文采用ACL包過濾技術(shù)和NAT server技術(shù)，在HCL仿真軟件中完成內(nèi)網(wǎng)服務(wù)器實驗的搭建與部署。從實驗結(jié)果來看，采用NATserver技術(shù)，內(nèi)網(wǎng)服務(wù)器能通過公網(wǎng)地址為外網(wǎng)用戶提供正常的服務(wù)，且隱藏了內(nèi)部服務(wù)器的真實信息，而采用ACL包過濾技術(shù)可以阻止不可信的數(shù)據(jù)包訪問，確保了服務(wù)器的安全。實驗清晰直觀，對學(xué)生的實踐有很好的指導(dǎo)作用。